Il ricercatore di sicurezza informatica Stefan Kanthak è lo scopritore di una gravissima falla nel sistema di aggiornamento del programma Skype, il famoso client per l’accesso ai servizi di messagistica istantanea testuale, chat video e VoIP.
La vulnerabilità in questione consentirebbe ad un malintenzionato di sfruttare un attacco informatico noto col nome di DLL hijacking (Una DLL è una libreria che contiene codice e dati utilizzabili da più di un programma contemporaneamente).
Per ottenere un DLL hijacking bisognerebbe scaricare nella cartella temporanea, operazione questa che non richiede alcun privilegio di accesso, una DLL “trappola” rinominandola col nome della DLL legittima (in questo caso parliamo di UXTheme.dll).
L’Updater.exe di Skype, che per impostazione predefinita controlla periodicamente gli aggiornamenti, infatti si avvia con i privilegi dell’account SYSTEM ed estrae un programma denominato “SKY<abcd>.tmp” nella cartella “%SystemRoot%\Temp\” che a sua volta carica la “UXTheme.dll” dalla directory dove si trova l’eseguibile invece che dalla directory di Sistema di Windows, rischiando così di scambiare la falsa DLL per l’originale ed eseguendo il codice malevolo che trova all’interno ma questa volta con i privilegi SYSTEM (pari quindi a quelli dell’Amministratore del Sistema).
Questo permetterebbe al malintenzionato di avere qualsiasi potere sulla macchina attaccata, come rubare o eliminare dati oppure eseguire un ransomware o qualsiasi altra cosa riesca a fare il codice inserito nella DLL fasulla. Ovviamente resta per l’attaccante la difficoltà nell’introdursi nella macchina bersaglio e caricare la libreria nella cartella in questione.
Kanthak afferma di aver informato della scoperta la società di Redmond già a settembre dello scorso anno ma a tutt’oggi Microsoft non sembra intenzionata a risolvere la vulnerabilità in tempi brevi perché, ha affermato, correggere il bug richiederebbe una completa riscrittura dell’applicazione e ha quindi rimandato la correzione della stessa sulla futura versione di Skype.
Il ricercatore ha quindi ritenuto giusto divulgare la notizia seguendo la consuetudine della vulnerability disclosure che vuole divulgata la notizia passati i 90 giorni dall’avviso ai proprietari del software di cui si è scoperta la vulnerabilità.
Putroppo in questo caso le soluzioni al problema sono veramente poche e l’unico vero consiglio che si può dare è quello di disattivare l’updater di Skype oppure di disinstallare l’applicazione in attesa del nuovo rilascio.
Nonostante sfrutti una DLL, la falla potrebbe essere utilizzata per arrecare danni anche ai sistemi MacOS e GNU/Linux.
L’articolo Skype e il bug ignorato da Microsoft proviene da F-Hack.